הצילו!!!
- פותח הנושא dr.compu
- פורסם בתאריך
תודהלגבי פריצה למחשב
1) תתקין תוכנת אנטיוירוס עדכנית ותריץ אותה. חשוב שגם קובץ הנתונים וגם מנוע הסריקה יהיו מעודכנים. הרבה אנשים לא מעדכנים אף אחד מאלה או מעדכנים רק את קובץ הנתונים אבל לא את מנוע הסריקה. במידה ואין מנוע סריקה נפרד, יש להקפיד שהגירסה האחרונה של תוכנת האנטיוירוס תהיה מעודכנת. תעדכן את קובץ הנתונים (בחלק מהתוכנות- קבצי נתונים) לעיתים קרובות, ואת מנוע הסריקה לעיתים לא רחוקות. 2) תבדוק שאין לך File and Print sharing במחשב. את זה ניתן לראות ב- Control Panel ב- Network. אם זה מסומן, יש להסיר את הסימון. 3) תעדכן עדכוני אבטחה קריטיים בתוכנות שלך. ותעשה זאת לעיתים לא רחוקות. אתה יכול לעשות זאת דרך WindowsUpdate. 4) אם אתה מריץ גירסה ישנה של ICQ ומשתמש במה שקרוי Personal Web Page, בטל את זה. היה שם חור אבטחה. אני לא זוכר באיזו גירסה בדיוק הם סגרו את חור האבטחה הנ"ל. 5) נושא בעייתי - תלמד לזהות קבצים שחשודים כוירוסים ותלמד לא להריץ אותם. אל תסמוך כאן יותר מדי על תוכנת האנטיוירוס שלך. 6)אם לא מצאת עד השלב הזה שום בעיה (סוס טרויאני, או File and Print Sharing), אז חזור הנה עם אינפורמציה נוספת וננסה לאתר את מקור הבעיה. בשלב הזה, אתה כבר אמור להיות מוגן מפני 99.5 אחוז מנסיונות הפריצה. אבל יש הגנות נוספות שאפשר ליישם: 7) ללמוד עוד על איך לזהות ולא להריץ (קרי לפתוח) קבצים שעלולים להיות וירוסים. 8) להתקין פיירוול אישי ולדעת איך לקנפג אותו. 9) להריץ ברקע את תוכנת האנטיוירוס. 10) להגדיר מחדש את הגדרות הבטיחות באינטרנט אקספלורר על מנת לשפר את הבטיחות. 11) לבדוק את ההגדרות של Word לגבי הרצת מקרו. 12) ללמוד עוד על איך לזהות וירוסים וסוסים טרויאנים ולדעת לא להריץ אותם. 13) ללמוד אפילו עוד על הנושא. לעוד יותר פרנואידים אני ממליץ: 14) ללמוד כל הזמן על אבטחת מחשבים. 15) להתקין כמה תוכנות אנטיוירוס ולהריץ אותן מדי פעם (אבל רק אחת ברקע). 16) לעדכן עדכונים לעיתים עוד יותר קרובות. לאפילו עוד יותר פרנואידים, אני ממליץ: 17) לעבור למערכת הפעלה שמאפשרת מתן הרשאות גישה שונות לתוכנות שונות, ולחשוב איך להתקין דברים כך שלכל תוכנה תהיה רק ההרשאה המינימלית שדרושה לה. 18) לא להשתמש בתוכנות שרת או בתוכנות peer2peer. 19) להתחבר מעט לאינטרנט. 20) להזהר בהתקנות של תוכנות חדשות. לממש פרנואידים, אני ממליץ: 21) לא להתחבר בכלל לאינטרנט. 22) לקבל עזרה נפשית. אני ממליץ בחום על סעיפים 1-7. אפשר לשקול גם 8-13. לגבי השאר, לשקול היטב אם זה לא מוגזם. לגבי תוכנות לנקמה, אני יכול להמליץ על כמה תוכנות כאלה (בייחוד כאלה של מייקרוסופט - זה אחלה סוס טרויאני).
1) תתקין תוכנת אנטיוירוס עדכנית ותריץ אותה. חשוב שגם קובץ הנתונים וגם מנוע הסריקה יהיו מעודכנים. הרבה אנשים לא מעדכנים אף אחד מאלה או מעדכנים רק את קובץ הנתונים אבל לא את מנוע הסריקה. במידה ואין מנוע סריקה נפרד, יש להקפיד שהגירסה האחרונה של תוכנת האנטיוירוס תהיה מעודכנת. תעדכן את קובץ הנתונים (בחלק מהתוכנות- קבצי נתונים) לעיתים קרובות, ואת מנוע הסריקה לעיתים לא רחוקות. 2) תבדוק שאין לך File and Print sharing במחשב. את זה ניתן לראות ב- Control Panel ב- Network. אם זה מסומן, יש להסיר את הסימון. 3) תעדכן עדכוני אבטחה קריטיים בתוכנות שלך. ותעשה זאת לעיתים לא רחוקות. אתה יכול לעשות זאת דרך WindowsUpdate. 4) אם אתה מריץ גירסה ישנה של ICQ ומשתמש במה שקרוי Personal Web Page, בטל את זה. היה שם חור אבטחה. אני לא זוכר באיזו גירסה בדיוק הם סגרו את חור האבטחה הנ"ל. 5) נושא בעייתי - תלמד לזהות קבצים שחשודים כוירוסים ותלמד לא להריץ אותם. אל תסמוך כאן יותר מדי על תוכנת האנטיוירוס שלך. 6)אם לא מצאת עד השלב הזה שום בעיה (סוס טרויאני, או File and Print Sharing), אז חזור הנה עם אינפורמציה נוספת וננסה לאתר את מקור הבעיה. בשלב הזה, אתה כבר אמור להיות מוגן מפני 99.5 אחוז מנסיונות הפריצה. אבל יש הגנות נוספות שאפשר ליישם: 7) ללמוד עוד על איך לזהות ולא להריץ (קרי לפתוח) קבצים שעלולים להיות וירוסים. 8) להתקין פיירוול אישי ולדעת איך לקנפג אותו. 9) להריץ ברקע את תוכנת האנטיוירוס. 10) להגדיר מחדש את הגדרות הבטיחות באינטרנט אקספלורר על מנת לשפר את הבטיחות. 11) לבדוק את ההגדרות של Word לגבי הרצת מקרו. 12) ללמוד עוד על איך לזהות וירוסים וסוסים טרויאנים ולדעת לא להריץ אותם. 13) ללמוד אפילו עוד על הנושא. לעוד יותר פרנואידים אני ממליץ: 14) ללמוד כל הזמן על אבטחת מחשבים. 15) להתקין כמה תוכנות אנטיוירוס ולהריץ אותן מדי פעם (אבל רק אחת ברקע). 16) לעדכן עדכונים לעיתים עוד יותר קרובות. לאפילו עוד יותר פרנואידים, אני ממליץ: 17) לעבור למערכת הפעלה שמאפשרת מתן הרשאות גישה שונות לתוכנות שונות, ולחשוב איך להתקין דברים כך שלכל תוכנה תהיה רק ההרשאה המינימלית שדרושה לה. 18) לא להשתמש בתוכנות שרת או בתוכנות peer2peer. 19) להתחבר מעט לאינטרנט. 20) להזהר בהתקנות של תוכנות חדשות. לממש פרנואידים, אני ממליץ: 21) לא להתחבר בכלל לאינטרנט. 22) לקבל עזרה נפשית. אני ממליץ בחום על סעיפים 1-7. אפשר לשקול גם 8-13. לגבי השאר, לשקול היטב אם זה לא מוגזם. לגבי תוכנות לנקמה, אני יכול להמליץ על כמה תוכנות כאלה (בייחוד כאלה של מייקרוסופט - זה אחלה סוס טרויאני).
ראשית עליך להפתר מה- subseven.
ה-subseven איפשר את הפריצה למחשב שלך. ה- subseven הוא עכברוש, כלומר RAT שזה ראשי תיבות של Remote Access Trojan (ויש אומרים Remote Admin Trojan). כלומר סוס טרויאני שמאפשר שליטה מרחוק על המחשב שלך. גם ה- NetBUS שהוזכר פה, וה- BackOrifice שהוזכר בתוכנית שהיתה לפני יומיים בערוץ הראשון על פורצי מחשבים, הם סוגים של עכברושים. ה- SubSeven שקרוי גם Backdoor-G הוא לדעתי הנפוץ שבין העכברושים. נסה להסיר אותו בעזרת The Cleaner. אם לא, אז התקן תוכנת אנטיוירוס חינמית, מהסוג של http://www.antivir.com או http://www.complex.is או http://www.grisoft.com או (לא פשוט מדי) השתמש בהנחיות להסרה ידנית שיש ב- HackFix http://www.hackfix.org/subseven חזור אלינו אח"כ.
ה-subseven איפשר את הפריצה למחשב שלך. ה- subseven הוא עכברוש, כלומר RAT שזה ראשי תיבות של Remote Access Trojan (ויש אומרים Remote Admin Trojan). כלומר סוס טרויאני שמאפשר שליטה מרחוק על המחשב שלך. גם ה- NetBUS שהוזכר פה, וה- BackOrifice שהוזכר בתוכנית שהיתה לפני יומיים בערוץ הראשון על פורצי מחשבים, הם סוגים של עכברושים. ה- SubSeven שקרוי גם Backdoor-G הוא לדעתי הנפוץ שבין העכברושים. נסה להסיר אותו בעזרת The Cleaner. אם לא, אז התקן תוכנת אנטיוירוס חינמית, מהסוג של http://www.antivir.com או http://www.complex.is או http://www.grisoft.com או (לא פשוט מדי) השתמש בהנחיות להסרה ידנית שיש ב- HackFix http://www.hackfix.org/subseven חזור אלינו אח"כ.
subseven
שלום לכם, מכייון שאין לי ADSL חשבתי שזה לא יהיה יעיל להוריד את התוכנה. בקשר ל"קלינר" כניסיתי למחוק, הוא אמר לי שאני לא יכול, ואז הו שאל אותי אם אני רוצה פרטים, אמרתי שכן. אז העתקתי לכם את מה שהא כתב לי, כי לא הבנתי מזה, מה עליי לעשות כעט. SubSeven c:\WINDOWS\MSREXE.exe PROBLEM: Could not remove file. SOLUTION: Reboot to allow Windows to remove the file. SubSeven c:\WINDOWS\ioiqfyay.exe PROBLEM: Could not remove file. SOLUTION: Reboot to allow Windows to remove the file. תודה
שלום לכם, מכייון שאין לי ADSL חשבתי שזה לא יהיה יעיל להוריד את התוכנה. בקשר ל"קלינר" כניסיתי למחוק, הוא אמר לי שאני לא יכול, ואז הו שאל אותי אם אני רוצה פרטים, אמרתי שכן. אז העתקתי לכם את מה שהא כתב לי, כי לא הבנתי מזה, מה עליי לעשות כעט. SubSeven c:\WINDOWS\MSREXE.exe PROBLEM: Could not remove file. SOLUTION: Reboot to allow Windows to remove the file. SubSeven c:\WINDOWS\ioiqfyay.exe PROBLEM: Could not remove file. SOLUTION: Reboot to allow Windows to remove the file. תודה
נסה להכנס ל-safe mode (מצב בטוח)
ומשם להריץ את The Cleaner. להכנס ל- safe mode עליך לעשות restart (אם יש לך restart in safe mode אז אוקיי ואם לא אז...) ואז ללחוץ רצוף על ctrl, תוך כדי שהמחשב עושה restart. אתה מקבל תפריט שיאפשר לך להכנס ל-safe mode ("מצב בטוח" אם אני זוכר נכון).
ומשם להריץ את The Cleaner. להכנס ל- safe mode עליך לעשות restart (אם יש לך restart in safe mode אז אוקיי ואם לא אז...) ואז ללחוץ רצוף על ctrl, תוך כדי שהמחשב עושה restart. אתה מקבל תפריט שיאפשר לך להכנס ל-safe mode ("מצב בטוח" אם אני זוכר נכון).
ההודעה על ה- Master Boot Record
ההודעה על ה- Master boot Record תקינה. אם יש דיסק אחד, אז אכן יש MBR אחד. אבל זה שהיא לא זיהתה את ה- subseven, זה כנראה בגלל שהתוכנה ישנה. אין לה עדכונים? The Cleaner מציין מהי הגירסה של ה- SubSeven? אפשר להסיר את ההרצה בהתחלה, ע"י msconfig כך שלא חייבים לשחק באופן ידני ב- Registry. קח בחשבון שבכל רגע שאתה מחובר לאינטרנט ניתן כרגע להכנס אליך אל המחשב, לראות את הדיאלוגים שלנו, ולמשל, להחליף את השם של הקובץ של ה- subseven. הרץ שוב את The Cleaner כאשר המחשב מנותק מהאינטרנט, גש ל- DOS והקש msconfig . משם בתפריט התחלה או startup מצא הפניות לזה ונטרל אותן. הפעל מחדש את המחשב והרץ שוב את The Cleaner ונסה להסיר אז. אפשרות אחרת, לנסות את אחת מתוכנות האנטיוירוס שמסרתי לך. (אבל אין טעם לנסות תוכנות לא מעודכנות). דאג שלא יותר מתוכנת אנטיוירוס אחת תרוץ ברקע.
ההודעה על ה- Master boot Record תקינה. אם יש דיסק אחד, אז אכן יש MBR אחד. אבל זה שהיא לא זיהתה את ה- subseven, זה כנראה בגלל שהתוכנה ישנה. אין לה עדכונים? The Cleaner מציין מהי הגירסה של ה- SubSeven? אפשר להסיר את ההרצה בהתחלה, ע"י msconfig כך שלא חייבים לשחק באופן ידני ב- Registry. קח בחשבון שבכל רגע שאתה מחובר לאינטרנט ניתן כרגע להכנס אליך אל המחשב, לראות את הדיאלוגים שלנו, ולמשל, להחליף את השם של הקובץ של ה- subseven. הרץ שוב את The Cleaner כאשר המחשב מנותק מהאינטרנט, גש ל- DOS והקש msconfig . משם בתפריט התחלה או startup מצא הפניות לזה ונטרל אותן. הפעל מחדש את המחשב והרץ שוב את The Cleaner ונסה להסיר אז. אפשרות אחרת, לנסות את אחת מתוכנות האנטיוירוס שמסרתי לך. (אבל אין טעם לנסות תוכנות לא מעודכנות). דאג שלא יותר מתוכנת אנטיוירוס אחת תרוץ ברקע.
זה אומר אחד משני דברים
או שניקית את זה בלי לשים לב, למשל ע"י זה שאיתחלת את Windows לפי ההנחיה של TheCleaner או שמכיוון שבזמן שאתה בודק כיצד לבטל את ה- SubSeven מישהו כבר שולט על המחשב שלך, הוא יכול לשבש דברים, למשל להליף את העותק של קובץ הנתונים של TheCleaner בעותק ישן. יש מספר דברים שעדיין שווה לבדוק. א) בדוק שוב עם ה- File and print sharing פתוח. ב) Netstat פעם נוספת, אבל עכשיו, עשה זאת כך: 1) אתחל את המחשב 2) מיד אח"כ כבה כל אפליקציית אינטרנט שעולה באופן אוטומטי (למשל Odigo, או ICQ). אבל ממש הכל. 3) התחבר לאינטרנט 4) מבלי להפעיל שום אפליקציית אינטרנט, הפעל netstat -a ובדוק אלו פורטים פתוחים. 5) נסה להריץ telnet localhost עליהם, לדוגמא אם פורט 12345 פתוח, רשום: telnet localhost 12345 ולראות האם אחד מהפורטים הנללו עונה לך. אם כן, אז יש בעיה.
או שניקית את זה בלי לשים לב, למשל ע"י זה שאיתחלת את Windows לפי ההנחיה של TheCleaner או שמכיוון שבזמן שאתה בודק כיצד לבטל את ה- SubSeven מישהו כבר שולט על המחשב שלך, הוא יכול לשבש דברים, למשל להליף את העותק של קובץ הנתונים של TheCleaner בעותק ישן. יש מספר דברים שעדיין שווה לבדוק. א) בדוק שוב עם ה- File and print sharing פתוח. ב) Netstat פעם נוספת, אבל עכשיו, עשה זאת כך: 1) אתחל את המחשב 2) מיד אח"כ כבה כל אפליקציית אינטרנט שעולה באופן אוטומטי (למשל Odigo, או ICQ). אבל ממש הכל. 3) התחבר לאינטרנט 4) מבלי להפעיל שום אפליקציית אינטרנט, הפעל netstat -a ובדוק אלו פורטים פתוחים. 5) נסה להריץ telnet localhost עליהם, לדוגמא אם פורט 12345 פתוח, רשום: telnet localhost 12345 ולראות האם אחד מהפורטים הנללו עונה לך. אם כן, אז יש בעיה.
תוכל לבדוק online
תוכל לבצע סריקה online: http://www.securityspace.com/smysecure/index.html או http://scan.sygatetech.com הסורק האחרון בנוי ככה שהוא נועד לשכנע אותך להתקין פיירוול של sygate, אז אל תתרגש מזה שהוא מתריע שאפשר לעשות לך פינגים או משהו כזה. בארבעת הימים הקרובים כנראה שלא אהיה ליד מחשב, כך שיתכן שלא אגיב כאן.
תוכל לבצע סריקה online: http://www.securityspace.com/smysecure/index.html או http://scan.sygatetech.com הסורק האחרון בנוי ככה שהוא נועד לשכנע אותך להתקין פיירוול של sygate, אז אל תתרגש מזה שהוא מתריע שאפשר לעשות לך פינגים או משהו כזה. בארבעת הימים הקרובים כנראה שלא אהיה ליד מחשב, כך שיתכן שלא אגיב כאן.
הפיתרון
שמות הקבצים שקיבלת הם השרתים של ה trojan ! הקבצים הללו מורצים עם התחלת החלונות ולכן לא ניתן למחוק אותם (כי הם בשימוש ע"י המערכת). יש דרך למחוק אותם דרך הרג´יסטרי ועוד קובץ אבל זה מסובך מעט ואני מעדיף לא לסבך אותך, לכן נלך על פיתרון יותר פשוט : תרשום את שמות שני הקבצים : c:\WINDOWS\MSREXE.exe c:\WINDOWS\ioiqfyay.exe לאחר מכן תאתחל את המחשב ולחץ F8 לקבלת תפריט אתחול - במקום לבחור "מצב בטוח" תבחר בשורת דוס בלבד ( prompt line only ). עכשיו אתה נמצא בדוס ובגלל שהחלונות לא עלו גם הקבצים הנגועים לא נכנסו לשימוש ועכשיו ניתן למחוק אותם מהדוס. (השתמש בפקודה del עבור שני הקבצים : del c:\WINDOWS\MSREXE.exe del c:\WINDOWS\ioiqfyay.exe עכשיו אתה יכול לאתחל את המחשב מחדש והוא אמור להיות נקי מ sub seven. אם יש שאלות, הפנה אותם לכאן... בברכה, דינו_דין.
שמות הקבצים שקיבלת הם השרתים של ה trojan ! הקבצים הללו מורצים עם התחלת החלונות ולכן לא ניתן למחוק אותם (כי הם בשימוש ע"י המערכת). יש דרך למחוק אותם דרך הרג´יסטרי ועוד קובץ אבל זה מסובך מעט ואני מעדיף לא לסבך אותך, לכן נלך על פיתרון יותר פשוט : תרשום את שמות שני הקבצים : c:\WINDOWS\MSREXE.exe c:\WINDOWS\ioiqfyay.exe לאחר מכן תאתחל את המחשב ולחץ F8 לקבלת תפריט אתחול - במקום לבחור "מצב בטוח" תבחר בשורת דוס בלבד ( prompt line only ). עכשיו אתה נמצא בדוס ובגלל שהחלונות לא עלו גם הקבצים הנגועים לא נכנסו לשימוש ועכשיו ניתן למחוק אותם מהדוס. (השתמש בפקודה del עבור שני הקבצים : del c:\WINDOWS\MSREXE.exe del c:\WINDOWS\ioiqfyay.exe עכשיו אתה יכול לאתחל את המחשב מחדש והוא אמור להיות נקי מ sub seven. אם יש שאלות, הפנה אותם לכאן... בברכה, דינו_דין.
אנטיווירוס מומלץ הוא
antiviral toolkit pro platinum של KASPARSKY (יחסית קטן מבחינת גודל) הוא מצוין נגד ווירוסים ובמיוחד נגד טרויאנים,תנסה להוריד את AVP מהלינק הזה www.avp.ch (הלינק לא עם סיומת COM) ,יש להם גירסת דוס וגירסת וינדוס ,אני חושב שאתה יכול להתקין את גירסת ה WINDOWS ,לפעמים חייבים להתקין את גירסת הדוס מכיוון שיש ווירוסים שמדביקים כל קובץ EXE ,(זה לא המקרה אני חושב),אם AVP לא ימצא את הטרויאני אז הוא לא קיים,תוודא שאתה מגדיר לו הגדרות מקסימליות של הגנה גם לתוכנה עצמה וגם למוניטור (האייקון הקטן של הגנה אוטומאטית),לגבי ה SUBSEVEN שיש לך,מהרגע שאתה נגוע כל אחד שיש לו את התוכנה יכול לפרוץ אליך ,הפורץ איננו בהכרח אותו אחד בכל פעם,לאחר שתנקה את המחשב תוכל להתקין גם פיירוול של נורטון או ZONEALARM PRO 2.6 בהצלחה ייי
antiviral toolkit pro platinum של KASPARSKY (יחסית קטן מבחינת גודל) הוא מצוין נגד ווירוסים ובמיוחד נגד טרויאנים,תנסה להוריד את AVP מהלינק הזה www.avp.ch (הלינק לא עם סיומת COM) ,יש להם גירסת דוס וגירסת וינדוס ,אני חושב שאתה יכול להתקין את גירסת ה WINDOWS ,לפעמים חייבים להתקין את גירסת הדוס מכיוון שיש ווירוסים שמדביקים כל קובץ EXE ,(זה לא המקרה אני חושב),אם AVP לא ימצא את הטרויאני אז הוא לא קיים,תוודא שאתה מגדיר לו הגדרות מקסימליות של הגנה גם לתוכנה עצמה וגם למוניטור (האייקון הקטן של הגנה אוטומאטית),לגבי ה SUBSEVEN שיש לך,מהרגע שאתה נגוע כל אחד שיש לו את התוכנה יכול לפרוץ אליך ,הפורץ איננו בהכרח אותו אחד בכל פעם,לאחר שתנקה את המחשב תוכל להתקין גם פיירוול של נורטון או ZONEALARM PRO 2.6 בהצלחה ייי
Copyright©1996-2021,Tapuz Media Ltd. Forum software by XenForo® © 2010-2020 XenForo Ltd.